none
ローカルに保存したイベントログを.evtxから.csvに変換する際の問題

    質問

  • ローカルに保存したイベントログを.evtxから.csvに変換したいのですが、
    ネットの情報を頼りに、PowerShellを使って以下のコマンドを打つことで変換が実現しました。
    Get-WinEvent -Path <evtxのパス名> |Export-Csv -Path <csvのパス> -Encoding Default

    ですが、イベントログ上の「イベントID」が”4624”のものだけが、csv化した際に、「message」の部分が空欄となってしまってうまく変換ができていないようです。
    他のイベントIDのログに関しては全て変換できています。

    なぜイベントIDが4624のログのmessageのみが変換できないのか、ご教授いただければと思います。
    よろしくお願い致します。
    2017年8月7日 8:34

すべての返信

  • イベントID4624というのは、何のイベントログでしょうか?

    イベントビューアでは、Messageに対応する「全般」タブの内容は正しく表示されているのでしょうか。

    元のイベントログが正しく表示されていることが前提になりますが、問題の切り分けのために以下のコマンドを実行してみてください。

     Get-WinEvent  -ProviderName <プロバイダ名>|where {$_.id -eq 4624}

     Get-WinEvent -Path <evtxのパス>|where {$_.id -eq 4624}

    のようにして、それぞれの場合で、該当ログのMessageが取れているかどうかを、ご確認ください。

    前者では取得可能だが、後者で不可の場合は、evtxとして保存した際に、何らかの理由で情報が欠落していることが考えられます。

    両者ともに取得不可の場合は、Get-WinEventコマンドが何らかの理由で正しく機能していないことが考えられます。

    両者ともに取得可能の場合は、Export-Csvコマンド実行時に何らかの問題が起きている可能性があります。

    2017年8月7日 10:51
    モデレータ